Redaktori z Android Police spolu s Trevorom Eckhartom prišli so šokujúcou informáciou ohľadom bezpečnosti najnovších smartfónov spoločnosti HTC. Podľa ich analýzy, spoločnosť v niektorých zariadeniach pridala v najnovších aktualizáciách do systému logovaciu aplikáciu, ktorá zbiera veľké množstvo technických ale aj súkromných informácií.
Znepokojujúci je najmä fakt, že tieto logy môžu byť na diaľku kedykoľvek stiahnuté a to v dôsledku otvorenia sieťového portu logovaciou aplikáciou. V praxi to znamená, že ktorákoľvek nainštalovaná aplikácia s požadovaným prístupom na internet (android.permission.INTERNET ), automaticky získa oprávnenia pre zistenie polohy prostredníctvom ID bunky mobilnej siete alebo GPS, e-mailových adries, výpisu hovorov, SMS logov a dát zo spustených aplikácií. Android Police dokonca prišiel s informáciou o tom, že takéto zariadenie by teoreticky mohlo byť aj naklonované.
Tu je zoznam zatiaľ známych postihnutých zariadení:
- EVO 4G
- EVO 3D
- Thunderbolt
- EVO Shift 4G?
- MyTouch 4G Slide?
- niektoré telefóny Sensation?
- pravdepodobne aj iné
K dispozícií zatiaľ nie je žiadna oprava, preto si dávajte pozor aké aplikácie inštalujete a verte len dobre známym aplikáciám z Android Marketu. Majitelia rootnutých telefónov by mali pre odstránenie tohto problému, čo najskôr vymazať aplikáciu HTCloggers.apk. Na demonštráciu tohto rizika vytvoril Eckharton aj aplikáciu (+video), ktorá požaduje len jediné oprávnenie o prístup na internet. Namiesto toho však získa podrobný výpis s osobnými informáciami. To, či aj váš HTC smartfón trpí takouto chybou zistíte práve nainštalovaním tejto aplikácie a postupovaním podľa nasledovného videa.
Spoločnosť HTC sa k tejto bezpečnostnej diere v systéme vyjadrila až o týždeň neskôr, ako na túto skutočnosť upozornil Trevor Eckhart. Až po zverejnení tejto informácie na Android Police a iných komunitných portálov prišla s prehlásením:
HTC berie otázku bezpečnosti našich zákazníkov veľmi vážne a momentálne pracujeme na zistení závažnosti týchto tvrdení.
HTC takes our customers’ security very seriously, and we are working to investigate this claim as quickly as possible. We will provide an update as soon as we’re able to determine the accuracy of the claim and what steps, if any, need to be taken.
Dúfajme teda, že HTC v čo najkratšom čase príde s opravou v podobe OTA aktualizácie pre všetky postihnuté modely HTC smartfónov. Ako vnímate vy takúto bezpečnostnú dieru priamo vo vašom telefóne?
Update:
Spoločnosť HTC potvrdila túto bezpečnostnú dieru v systéme a pracuje na jej odstránení. V krátkom čase by mala byť dostupná OTA aktualizácia pre všetky postihnuté telefóny.
HTC takes claims related to the security of our products very seriously. In our ongoing investigation into this recent claim, we have concluded that while this HTC software itself does no harm to customers’ data, there is a vulnerability that could potentially be exploited by a malicious third-party application. A third party malware app exploiting this or any other vulnerability would potentially be acting in violation of civil and criminal laws. So far, we have not learned of any customers being affected in this way and would like to prevent it by making sure all customers are aware of this potential vulnerability.
HTC is working very diligently to quickly release a security update that will resolve the issue on affected devices. Following a short testing period by our carrier partners, the patch will be sent over-the-air to customers, who will be notified to download and install it. We urge all users to install the update promptly. During this time, as always, we strongly urge customers to use caution when downloading, using, installing and updating applications from untrusted sources.
Zdroj: androidpolice.com